频道struts2远程执行漏洞

    struts2远程执行漏洞，是个有相当久远历史的风险，其危害程度相当之大。网站的其他频道在去年4月份之后web层全部改为了spring mvc，只有我负责的这个频道，由于事情繁多，一直没改。在漏洞爆出之初，由于要构造的攻击条件比较复杂，所以问题并不严重。在今年7月份前后，互联网上爆出了攻击工具，针对这个漏洞的攻击一下子没有了门槛。

    9月份的时候运维工程师跟我说频道服务器上新建了很多新用户，问我是不是我建的。当时也没有引起我的注意，以为是服务器漏洞，删除了这些用户、升级了服务器防火墙之后就忘了这件事。十一期间，频道果断被黑，运维工程师采取的措施是升级应用服务器、将应用服务器的运行用户降权限，当时就已经怀疑到web应用有漏洞，但怀疑的重点是跟上传相关的功能，由于当时web服务器没有开启web访问日志，所以对这个问题也没有任何处理的依据，于是除了开启web访问日志之外，没有其他的措施。

    终于15日早晨，频道不能访问了，应用的部署目录下多了几个原来没有的文件，于是根据访问情况锁定了攻击IP，然后根据IP把攻击者的攻击行为找出来，终于锁定了问题原因是struts2的远程攻击漏洞。知道了原因，解决起来就简单了，网上有好几种方式，但自己一定要分析测试。除了在项目中修补漏洞，还将服务器的应用服务器的执行用户权限改为只读，这样即使还有其他漏洞攻击者也不能上传或修改部署目录下的文件了。

    注：我没有采用常用的过滤#的转义字符的方法，而是参照了这篇文章的做法。